楊瑜嫻，劉顯鵬

(1.武漢大學(xué) 法學(xué)院，湖北 武漢430072;2. 中南民族大學(xué) 法學(xué)院，湖北 武漢430074)

隨著電子信息技術(shù)的迅速發(fā)展，人們的交流方式更加多元化，電話、短信、郵件、微信、微博等傳遞信息的電子數(shù)據(jù)形式日益豐富。為了更好地應(yīng)對(duì)這些新穎、活躍卻相對(duì)復(fù)雜的電子數(shù)據(jù)，修改后的《民事訴訟法》、《刑事訴訟法》將電子證據(jù)列為獨(dú)立的證據(jù)類型，并賦予其法律上的獨(dú)立地位。但目前立法層面還未進(jìn)一步制定具體明確的電子證據(jù)規(guī)則，面對(duì)紛至沓來(lái)的電子合同糾紛、網(wǎng)絡(luò)侵權(quán)糾紛、計(jì)算機(jī)犯罪等困擾現(xiàn)代社會(huì)的突出難題，司法實(shí)踐迫切需要立法對(duì)電子證據(jù)的收集和調(diào)查進(jìn)行具體指引。

一、電子證據(jù)收集程序的特殊性

電子證據(jù)是指借助電子技術(shù)和設(shè)備形成的，以數(shù)字化的信息編碼形式出現(xiàn)的，用以儲(chǔ)存并反映有關(guān)案件情況、證明案件事實(shí)的一切電子化信息、記錄及物品。因其技術(shù)含量較高，收集電子證據(jù)的關(guān)鍵就是要把準(zhǔn)電子證據(jù)的特點(diǎn)，除遵循證據(jù)收集的一般性規(guī)則外，在取證主體、取證內(nèi)容和取證方法上還存在著一定的特殊性。

(一)取證主體需要具有專業(yè)技術(shù)知識(shí)

一般情況下，電子證據(jù)的收集主體仍然是當(dāng)事人、法院或偵察機(jī)關(guān)。但因電子證據(jù)具有高科技特征，為保證數(shù)據(jù)以最真實(shí)、直觀的面貌被呈現(xiàn)出來(lái)，在收集過(guò)程中相應(yīng)會(huì)有較高的技術(shù)要求，即往往要求參與取證的人員必須具備一定的管理和操作電子信息的知識(shí)和能力，并在取證過(guò)程中遵循嚴(yán)格的行為規(guī)則和技術(shù)標(biāo)準(zhǔn)。同時(shí)，電子科技的迅猛發(fā)展使得電子技術(shù)更新?lián)Q代的頻率非常高，新技術(shù)日新月異，導(dǎo)致普通人很難保持對(duì)電子技術(shù)持續(xù)地了解和掌握，故通常不得不委托某方面的專業(yè)技術(shù)人員協(xié)助進(jìn)行取證。而此處的專業(yè)技術(shù)人員，專指在相關(guān)專業(yè)技術(shù)部門中具有相關(guān)電子知識(shí)和電子技術(shù)，能勝任特定具體案件的證據(jù)收集的人員。

(二)取證內(nèi)容包括電子證據(jù)本身及配套信息

電子證據(jù)賴以存在的基礎(chǔ)是不穩(wěn)定的磁性介質(zhì)，這使得電子證據(jù)的收集越來(lái)越依賴于各項(xiàng)技術(shù)保障。電子證據(jù)多使用特定的二進(jìn)制編碼，信息呈現(xiàn)形式多樣化，這使傳統(tǒng)的證據(jù)收集手段不易保證其完整性〔1〕。電子證據(jù)的存儲(chǔ)地點(diǎn)也往往不易察覺，其既可能存在于特定計(jì)算機(jī)或外圍存儲(chǔ)設(shè)備中，也可能保存在特定網(wǎng)絡(luò)服務(wù)器中，數(shù)據(jù)還可能被進(jìn)一步被隱藏或加密。因此，對(duì)電子證據(jù)進(jìn)行收集時(shí)應(yīng)從電子證據(jù)本身和相關(guān)配套信息兩個(gè)方面著手。

從電子證據(jù)本身來(lái)看，應(yīng)盡量收集原件。作為與案件事實(shí)關(guān)聯(lián)性更強(qiáng)的證據(jù)形態(tài)，電子證據(jù)的原件對(duì)案件事實(shí)的證明效力一般較強(qiáng)，對(duì)其進(jìn)行收集和固定往往能夠起到較好的證明效果。同時(shí)，因電子證據(jù)多數(shù)可以精確復(fù)制，即復(fù)制件與原件高度同一，相關(guān)規(guī)則一般也認(rèn)可符合特定條件的電子證據(jù)復(fù)制件的證明力。如《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第22 條規(guī)定:“調(diào)查人員調(diào)查收集計(jì)算機(jī)數(shù)據(jù)或者錄音、錄像等視聽資料的，應(yīng)當(dāng)要求被調(diào)查人提供有關(guān)資料的原始載體。提供原始載體確有困難的，可以提供復(fù)制件。提供復(fù)制件的，調(diào)查人員應(yīng)當(dāng)在調(diào)查筆錄中說(shuō)明其來(lái)源和制作經(jīng)過(guò)?！?/p>

從電子證據(jù)的配套來(lái)看，收集電子證據(jù)時(shí)應(yīng)一并收集相關(guān)運(yùn)行記錄和系統(tǒng)信息。作為電子證據(jù)的數(shù)據(jù)和信息以不可直接讀取的電訊代碼的形式存儲(chǔ)在各類現(xiàn)代化計(jì)算、通信和信息處理介質(zhì)中〔2〕，其對(duì)運(yùn)行環(huán)境的依賴性很高，它的整個(gè)運(yùn)行過(guò)程都必須借助一定的硬件設(shè)備和軟件平臺(tái)。反映特定數(shù)據(jù)電文生成、存儲(chǔ)、變更及傳輸?shù)冗^(guò)程的電子記錄可用來(lái)證明數(shù)據(jù)電文的真實(shí)性，運(yùn)行數(shù)據(jù)電文的電子設(shè)備及其系統(tǒng)可用來(lái)證明特定數(shù)據(jù)電文的完整性和原始性。因而，電子證據(jù)的可采性和關(guān)聯(lián)性很大程度上取決于所依賴的系統(tǒng)設(shè)備的性能，借助于高性能電子設(shè)備一般能獲得較強(qiáng)證明力的電子證據(jù)，并且，在特定情形下還需要系統(tǒng)操作人員對(duì)電子證據(jù)存在的系統(tǒng)和技術(shù)設(shè)備的性能及可靠程度等相關(guān)情況予以證實(shí)。

(三)取證過(guò)程具有特殊的程序要求

在收集電子證據(jù)過(guò)程中，傳統(tǒng)的紙質(zhì)記錄被光盤、磁盤等電子介質(zhì)所取代，肉眼能識(shí)別的記錄追蹤的線索也由于電子設(shè)備的自動(dòng)生成而中斷，收集線索模糊化、隱形化，取證難度大大增加。電子取證的基礎(chǔ)工作和關(guān)鍵環(huán)節(jié)是獲取物理證據(jù)，即最大限度地保證原始數(shù)據(jù)不受到任何破壞。在此階段，取證人員必須遵循的行為準(zhǔn)則是任何情況下均不能改變?cè)加涗?，不得?zhí)行無(wú)關(guān)操作，并杜絕他人可能改變數(shù)據(jù)的機(jī)會(huì)，取證人員應(yīng)該詳細(xì)記錄取證的全過(guò)程，同時(shí)妥善保存所取得的數(shù)據(jù)信息。在特定情形下，對(duì)電子證據(jù)采取搜查、扣押(包括截取網(wǎng)絡(luò)傳輸信息)等措施時(shí)可能會(huì)涉及受法律保護(hù)的隱私或秘密等信息，此時(shí)應(yīng)該事先獲得司法機(jī)關(guān)的授權(quán)或證據(jù)持有者的許可。其后，必須由司法人員、當(dāng)事人和技術(shù)人員共同完成對(duì)電子數(shù)據(jù)介質(zhì)的拆卸、移交、保管、開封等各個(gè)環(huán)節(jié)，每一個(gè)過(guò)程都應(yīng)該核實(shí)電子證據(jù)的完好性和真實(shí)性，并制作詳盡筆錄，由參與主體共同簽名。靈活運(yùn)用電子證據(jù)的易存儲(chǔ)特性，將載于原始介質(zhì)的電子證據(jù)存放于專門的證據(jù)保存場(chǎng)所由專人保管，同時(shí)由取證人員共同制作兩個(gè)副本，對(duì)復(fù)制品進(jìn)行信息的提取和分析。需要注意的是，存儲(chǔ)電子數(shù)據(jù)的介質(zhì)和場(chǎng)所應(yīng)遠(yuǎn)離高磁場(chǎng)、潮濕、高溫、擠壓、灰塵等危險(xiǎn)惡劣的環(huán)境。如運(yùn)送易受無(wú)線電波影響的電子證據(jù)時(shí)要關(guān)閉無(wú)線通訊設(shè)備，以免其工作時(shí)產(chǎn)生的電磁場(chǎng)破壞數(shù)據(jù)。

(四)取證方法因電子證據(jù)的技術(shù)類型而不同

多樣化的技術(shù)類型使電子證據(jù)呈現(xiàn)出豐富的具體形態(tài)，收集不同類型的電子證據(jù)所采取的方法也會(huì)有所區(qū)別。一方面，電子證據(jù)的存放方式和地點(diǎn)與傳統(tǒng)的證據(jù)有所不同，它往往保存在特定電子設(shè)備中(如計(jì)算機(jī)硬盤、外圍存儲(chǔ)設(shè)備或網(wǎng)絡(luò)服務(wù)器等)并以電子數(shù)據(jù)的形式呈現(xiàn)出來(lái)〔3〕。這種對(duì)存儲(chǔ)設(shè)備的高度依賴性使得硬件損壞、誤操作、數(shù)據(jù)加密、隱藏、病毒以及黑客襲擾等諸多原因均可對(duì)電子證據(jù)的順利收集帶來(lái)困擾。在收集電子證據(jù)時(shí)，應(yīng)針對(duì)各種存儲(chǔ)設(shè)備采取不同手段，盡量保證電子證據(jù)的完整性，最大程度考慮身份驗(yàn)證、數(shù)據(jù)恢復(fù)、病毒防范以及黑客入侵等安全因素。另一方面，以數(shù)字化信息編程的形式出現(xiàn)的電子證據(jù)，其產(chǎn)生、儲(chǔ)存和傳輸?shù)母鱾€(gè)步驟均需借助各類電子技術(shù)，否則電子證據(jù)即成為“無(wú)本之木”。盡管在沒有外界蓄意篡改或差錯(cuò)影響的情況下，電子證據(jù)一般能夠較準(zhǔn)確地保存并反映案件事實(shí)，但技術(shù)的失真同樣會(huì)對(duì)電子證據(jù)的收集效果產(chǎn)生“致命”影響，故收集電子證據(jù)時(shí)一定要甄別不同技術(shù)類型，準(zhǔn)確應(yīng)用相應(yīng)收集技術(shù)，從而保證電子證據(jù)收集的可靠性和真實(shí)性。

總體而言，應(yīng)根據(jù)電子證據(jù)的具體類型采取不同的收集方式。而常見的電子證據(jù)主要有三種:其一是封閉操作系統(tǒng)中的電子證據(jù)，該系統(tǒng)是電子證據(jù)存儲(chǔ)的終端平臺(tái)，常用系統(tǒng)有計(jì)算機(jī)、手機(jī)等;其二是網(wǎng)絡(luò)電子證據(jù)，是指在開放網(wǎng)絡(luò)中存在的、由網(wǎng)絡(luò)語(yǔ)言構(gòu)成的證據(jù)形態(tài)，主要形式有網(wǎng)頁(yè)、電子郵件、電子聊天記錄等;其三是通訊電子證據(jù)，是指在電子通訊過(guò)程中由通訊信息構(gòu)成的證據(jù)形態(tài)，主要形式有通話、短信等。前兩種是電子證據(jù)最重要的組成部分，是電子技術(shù)發(fā)展的集大成者。但在具體案件中，電子證據(jù)的表現(xiàn)形式豐富多樣，應(yīng)針對(duì)具體情形采取相應(yīng)的收集手段。

二、封閉操作系統(tǒng)中電子證據(jù)的收集——以計(jì)算機(jī)為例

作為單個(gè)標(biāo)準(zhǔn)化操作系統(tǒng)中的特定電子數(shù)據(jù)，其與該系統(tǒng)所有者或使用者的聯(lián)系最為緊密也最為直接，故是實(shí)踐中最為常見的電子證據(jù)，亦是對(duì)該系統(tǒng)所有者或使用者所涉案件事實(shí)證明力最強(qiáng)的電子證據(jù)類型。計(jì)算機(jī)技術(shù)的日新月異帶動(dòng)了計(jì)算機(jī)和手機(jī)操作系統(tǒng)的快速發(fā)展，計(jì)算機(jī)與手機(jī)在收集電子證據(jù)時(shí)有很多相似性，本文以計(jì)算機(jī)為例探討常用封閉操作系統(tǒng)中電子證據(jù)的收集。

計(jì)算機(jī)取證(Computer Forensics)也稱計(jì)算機(jī)法醫(yī)學(xué)，指把計(jì)算機(jī)看作犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析技術(shù)，對(duì)電腦犯罪行為進(jìn)行法醫(yī)式解剖，搜尋、確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟〔4〕。以往的司法實(shí)踐中，收集計(jì)算機(jī)證據(jù)一般采取復(fù)制、打印等簡(jiǎn)單取證方式，但隨著計(jì)算機(jī)硬件和軟件技術(shù)的發(fā)展，司法人員顯然已無(wú)法有效解決一些專業(yè)技術(shù)問(wèn)題。鑒此，在特定情形下，對(duì)計(jì)算機(jī)證據(jù)的收集需要借助專業(yè)技術(shù)人員的力量，即采取專業(yè)取證的方式?？傮w而言，對(duì)計(jì)算機(jī)證據(jù)的專業(yè)取證主要有以下幾種方式。

第一，解密。為了有效保護(hù)特定電子數(shù)據(jù)的私密性，在信息傳輸或存儲(chǔ)中，計(jì)算機(jī)用戶采用密碼技術(shù)對(duì)需要保密的信息進(jìn)行處理，使得處理后的信息不能被非授權(quán)者讀懂或解讀，這一過(guò)程稱為加密。在加密處理過(guò)程中，需要保密的信息稱為“明文”，經(jīng)加密處理后的信息稱為“密文”〔5〕。加密即是將“明文”變?yōu)椤懊芪摹钡倪^(guò)程。實(shí)踐中，加密既可以通過(guò)計(jì)算機(jī)操作系統(tǒng)自帶的程序進(jìn)行，亦可以借助第三方加密軟件實(shí)施。而且根據(jù)不同的需要，既可以實(shí)現(xiàn)對(duì)文件本身的加密，也可以做到對(duì)用戶權(quán)限的限制。這些被加密的電子數(shù)據(jù)往往是證明案件事實(shí)的關(guān)鍵證據(jù)，此時(shí)，便需要專業(yè)人員運(yùn)用密碼分析、密碼破解、口令搜索、口令提取以及口令恢復(fù)等專業(yè)技術(shù)對(duì)信息加以解譯，從而將“密文”變?yōu)椤懊魑摹?，這一過(guò)程便是計(jì)算機(jī)證據(jù)收集過(guò)程中的解密〔6〕。解密成功后，便可對(duì)特定計(jì)算機(jī)證據(jù)進(jìn)行一般取證。同時(shí)，為防范電子數(shù)據(jù)在解密過(guò)程中被丟失或損壞，應(yīng)備份被解密文件，必要時(shí)可通過(guò)錄像存檔解密的全過(guò)程，保證解密過(guò)程的規(guī)范性和嚴(yán)謹(jǐn)性。

第二，測(cè)試。在計(jì)算機(jī)證據(jù)收集過(guò)程中，如果涉及到與軟件設(shè)計(jì)或使用有關(guān)的問(wèn)題時(shí)，應(yīng)由專業(yè)技術(shù)人員現(xiàn)場(chǎng)使用事先制作的測(cè)試文件對(duì)特定軟件進(jìn)行測(cè)試〔7〕。該測(cè)試是使用人工或自動(dòng)手段來(lái)運(yùn)行某個(gè)系統(tǒng)，從而檢驗(yàn)其是否滿足規(guī)定的需求或預(yù)期結(jié)果與實(shí)際結(jié)果之間的差別，根本目的在于鑒定軟件的正確性、完整性和安全性。經(jīng)過(guò)測(cè)試后，如果發(fā)現(xiàn)軟件存在問(wèn)題，專業(yè)技術(shù)人員應(yīng)對(duì)軟件予以檢查或提取固定，并使之成為證明案件事實(shí)的相關(guān)證據(jù)。

第三，恢復(fù)。在存儲(chǔ)介質(zhì)損傷、操作系統(tǒng)故障以及操作人員故意或過(guò)失操作等情況下，計(jì)算機(jī)中的某些數(shù)據(jù)可能出現(xiàn)看不見、無(wú)法讀取或丟失等情形，這會(huì)對(duì)相關(guān)證據(jù)的收集造成阻礙。此時(shí)便需運(yùn)用電子數(shù)據(jù)恢復(fù)技術(shù)，對(duì)保存在計(jì)算機(jī)硬盤、服務(wù)器硬盤和軟盤、移動(dòng)硬盤、USB 閃存盤或可存儲(chǔ)光盤等移動(dòng)儲(chǔ)存設(shè)備上丟失的電子數(shù)據(jù)進(jìn)行搶救和恢復(fù)〔8〕。數(shù)據(jù)恢復(fù)技術(shù)所恢復(fù)的數(shù)據(jù)主要是應(yīng)用數(shù)據(jù)，包括用戶專有的文本、數(shù)據(jù)表、照片、圖像、視頻、電子郵件以及數(shù)據(jù)庫(kù)文件等，用戶不僅關(guān)心文件內(nèi)容，亦需要文件的完整。一般而言，計(jì)算機(jī)系統(tǒng)具有對(duì)數(shù)據(jù)自動(dòng)生成備份和恢復(fù)的功能，專業(yè)的數(shù)據(jù)庫(kù)安全系統(tǒng)還會(huì)為重要數(shù)據(jù)進(jìn)行專門的備份。這種系統(tǒng)大多由特定的設(shè)備和操作管理模式構(gòu)成，其中的數(shù)據(jù)較難被篡改。當(dāng)相關(guān)數(shù)據(jù)被修改或破壞時(shí)，可恢復(fù)自動(dòng)備份數(shù)據(jù)，通過(guò)與已被處理過(guò)的數(shù)據(jù)進(jìn)行對(duì)比來(lái)獲取相關(guān)證據(jù)。如果數(shù)據(jù)連同備份都被改變或刪除，則可在專業(yè)技術(shù)人員的協(xié)助下，通過(guò)計(jì)算機(jī)系統(tǒng)組織數(shù)據(jù)的鏈指針進(jìn)入小塊磁盤空間，從中發(fā)現(xiàn)數(shù)據(jù)備份或修改后的剩余數(shù)據(jù)并進(jìn)行比較和分析，進(jìn)而恢復(fù)部分或全部的數(shù)據(jù)〔9〕。數(shù)據(jù)恢復(fù)技術(shù)主要用于把刪除或者通過(guò)格式化磁盤擦除的數(shù)據(jù)恢復(fù)出來(lái)。刪除文件時(shí)，計(jì)算機(jī)系統(tǒng)只是在文件分配表內(nèi)在該文件前面加上了一個(gè)刪除標(biāo)志，表示該文件已被刪除，其所占用的空間已被釋放，而其他文件可使用該釋放的空間。故當(dāng)文件被刪除后又想重新找回時(shí)，只需用恢復(fù)工具將刪除標(biāo)志去掉，數(shù)據(jù)即可被恢復(fù)。格式化操作與刪除相似，也僅是操作了文件分配表，只不過(guò)是將所有文件都加上了刪除標(biāo)志或干脆將文件分配表清空，系統(tǒng)將認(rèn)為硬盤分區(qū)上不存在任何內(nèi)容。從本質(zhì)上看，格式化操作并未對(duì)數(shù)據(jù)區(qū)做任何操作，目錄雖空但內(nèi)容尚在，借助數(shù)據(jù)恢復(fù)工具即可恢復(fù)相應(yīng)數(shù)據(jù)。

第四，截獲。從物理屬性上來(lái)看，電子信息的形成和傳播需要借助電磁場(chǎng)的力量，而在電子場(chǎng)作用的范圍空間內(nèi)，電子信息可能為他人所截獲〔10〕。即便在封閉的介質(zhì)中傳輸，也難免發(fā)生電磁泄漏現(xiàn)象，而這些泄露的電磁信號(hào)中即可能包含某些重要的信息。計(jì)算機(jī)系統(tǒng)在使用過(guò)程中也可能發(fā)生電磁泄漏的情形，故也可通過(guò)一定技術(shù)手段對(duì)相關(guān)電子數(shù)據(jù)進(jìn)行截獲。但應(yīng)注意的是，電磁泄露一般為部分泄露，故對(duì)彌散在物理空間中的電磁信息進(jìn)行截獲也僅能達(dá)到部分取證的效果，只有通過(guò)在電子數(shù)據(jù)傳輸所經(jīng)過(guò)的線路上架設(shè)各類工具并運(yùn)用各種程序，才能持續(xù)、完整地實(shí)現(xiàn)全面截獲的目的。

三、常見網(wǎng)絡(luò)電子證據(jù)的收集

網(wǎng)絡(luò)電子證據(jù)的收集主要在開放的網(wǎng)絡(luò)上進(jìn)行，需要通過(guò)各種手段對(duì)大量具有證明作用的網(wǎng)上信息進(jìn)行固定和保存。但由于網(wǎng)上信息處于經(jīng)常性變化狀態(tài)，而且極易被不留痕跡地修改，故與封閉操作系統(tǒng)中電子證據(jù)的收集相比，網(wǎng)絡(luò)證據(jù)的收集難度更大。

(一)網(wǎng)絡(luò)遭受異常侵入時(shí)證據(jù)的收集

由于網(wǎng)絡(luò)日志是記載網(wǎng)絡(luò)信息變化情況的最直接證據(jù)，因此當(dāng)網(wǎng)絡(luò)遭受異常侵入時(shí)，首先要對(duì)網(wǎng)絡(luò)日志進(jìn)行檢查和保存。對(duì)此類證據(jù)的收集乃需從計(jì)算機(jī)操作系統(tǒng)的系統(tǒng)日志、應(yīng)用程序日志和安全日志入手并具體展開。這些日志具體包括操作系統(tǒng)事件日志、操作系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)應(yīng)用程序日志、防火墻日志、入侵檢測(cè)日志和受損系統(tǒng)及軟件鏡像等〔11〕。為防止這些證據(jù)文件在恢復(fù)系統(tǒng)備份時(shí)丟失，應(yīng)先使用系統(tǒng)鏡像軟件將整個(gè)系統(tǒng)做鏡像保存后再進(jìn)行恢復(fù)。要注意的是，網(wǎng)絡(luò)設(shè)備當(dāng)前的工作狀態(tài)在斷電后即會(huì)消失，因此在系統(tǒng)關(guān)閉之前一定要將計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的易失性數(shù)據(jù)保存下來(lái)。

可以使用計(jì)算機(jī)系統(tǒng)中的事件查看器查看并管理日志?；谥鳈C(jī)的檢測(cè)器可以檢測(cè)到系統(tǒng)類庫(kù)的改變或敏感位置文件的添加。當(dāng)結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時(shí)，就有可能重建特定的網(wǎng)絡(luò)事件。大多數(shù)的網(wǎng)絡(luò)流量在其經(jīng)過(guò)的路徑上均會(huì)留下監(jiān)查蹤跡。路由器、防火墻、服務(wù)器、入侵檢測(cè)器以及其他網(wǎng)絡(luò)設(shè)備都會(huì)保存日志，記錄網(wǎng)絡(luò)突發(fā)事件。入侵檢測(cè)器可以根據(jù)簽名識(shí)別或異常的檢測(cè)過(guò)濾器來(lái)捕獲攻擊的一部分〔12〕。取證人員需查找在地理上不同的所有日志，使之關(guān)聯(lián)，并為每個(gè)日志提供保管鏈，從而最終重建特定網(wǎng)絡(luò)突發(fā)事件。

(二)電子郵件的收集

作為通過(guò)網(wǎng)絡(luò)進(jìn)行書寫、發(fā)送和接收的信件，每份電子郵件的發(fā)送都涉及發(fā)送方與接收方。發(fā)送方構(gòu)成客戶端，接收方構(gòu)成服務(wù)器，而服務(wù)器又含有眾多用戶的電子信箱。發(fā)送方通過(guò)郵件客戶程序?qū)⒕庉嫼玫碾娮余]件向郵局服務(wù)器發(fā)送;郵局服務(wù)器識(shí)別接收者的地址并向管理該地址的郵件服務(wù)器發(fā)送消息;郵件服務(wù)器將消息存放在接收者的電子信箱內(nèi)并告知接收者有郵件到來(lái);接收者通過(guò)郵件客戶程序連接到服務(wù)器后就能看到服務(wù)器的通知，進(jìn)而打開自己的電子信箱來(lái)查收郵件。因?yàn)槭占渲械泥]件均為只讀文件，收件人無(wú)法修改，因此其可以較真實(shí)地反映相關(guān)通信內(nèi)容〔13〕。當(dāng)然，應(yīng)保證電子郵件的收集環(huán)境安全，未遭受病毒等異常侵襲。當(dāng)特定電子郵件在系統(tǒng)優(yōu)良的計(jì)算機(jī)中展示出來(lái)后，可通過(guò)打印或復(fù)制等方法將其固定起來(lái);同時(shí)，在法庭上也可通過(guò)計(jì)算機(jī)系統(tǒng)直接展示電子郵件的相關(guān)內(nèi)容。

(三)電子聊天記錄的收集

通過(guò)專門的網(wǎng)絡(luò)聊天工具，用戶在互聯(lián)網(wǎng)和移動(dòng)通訊網(wǎng)絡(luò)上實(shí)時(shí)發(fā)送文本、圖像和聲音等信息會(huì)形成通訊記錄。通過(guò)分析這些記錄，可以即時(shí)了解聊天參與人的相關(guān)情況，故它們也成為一種可證明案件事實(shí)的重要的網(wǎng)絡(luò)證據(jù)。相對(duì)于電子郵件而言，電子聊天記錄存在的環(huán)境更為開放，收集起來(lái)亦更為困難〔14〕。在收集電子聊天證據(jù)時(shí)最核心的內(nèi)容是聊天記錄本身，其可由網(wǎng)絡(luò)服務(wù)商提供;若網(wǎng)絡(luò)服務(wù)商未予保存，則可從參與者使用的計(jì)算機(jī)系統(tǒng)中調(diào)取，并以打印或復(fù)制等方式固定下來(lái)。對(duì)于被加密或篡改的聊天記錄，可聘請(qǐng)專業(yè)技術(shù)人員進(jìn)行解密或恢復(fù)處理。此外，為確保聊天記錄的完整性和真實(shí)性，尚需收集個(gè)人信息證據(jù)和系統(tǒng)環(huán)境證據(jù)，前者是為確定參與人的具體身份(如IP 地址、上網(wǎng)賬號(hào)、服務(wù)器信息和信息傳遞路徑等)，后者可以輔助證明網(wǎng)絡(luò)聊天證據(jù)的可靠性。

四、常見通訊電子證據(jù)的收集

通訊電子證據(jù)的收集主要在通訊設(shè)備上進(jìn)行，與網(wǎng)絡(luò)電子證據(jù)一樣，需要通過(guò)各種手段對(duì)大量具有證明作用的通訊信息進(jìn)行固定和保存。更為重要的是，由于通訊方式具有時(shí)效性、直接性，需要滿足確認(rèn)通訊人身份、通訊時(shí)間等要求。

(一)通話信息的收集

雖然目前學(xué)界在錄音等證據(jù)資料的獲取途徑和效力等問(wèn)題上存在不同的認(rèn)識(shí)，但不可否認(rèn)，通話記錄和通話內(nèi)容等信息在審判實(shí)踐中的運(yùn)用越來(lái)越廣。對(duì)于通話記錄而言，當(dāng)事人憑有效證件一般可較為順利地從電信運(yùn)營(yíng)商處獲取;而通話內(nèi)容的收集則要通過(guò)錄音方式取得。因條件和環(huán)境等各方面因素的影響，錄音材料的順利獲取并非易事，因此應(yīng)明確對(duì)通話內(nèi)容錄音的相關(guān)要求。

第一步，準(zhǔn)備條件。為確保通話的順利進(jìn)行，在錄音前應(yīng)從三個(gè)方面進(jìn)行準(zhǔn)備:其一，檢查錄音設(shè)備，防止通話過(guò)程中因技術(shù)問(wèn)題影響錄音效果。其二，選擇合適場(chǎng)合。一般來(lái)講，越早交談，對(duì)方的防范心理就越弱，此時(shí)錄音的效果就越理想，若在對(duì)方防范心理增強(qiáng)后再錄音，效果可能不盡如人意。同時(shí)，應(yīng)盡可能選擇環(huán)境較好的地方錄音，從而保證錄音質(zhì)量。

第二步，確定身份。錄音時(shí)首先要明確各方當(dāng)事人的身份信息等情況，如姓名、職業(yè)等，只有主體身份先確定下來(lái)，才談得上通過(guò)錄音證明雙方存在的事實(shí)。發(fā)問(wèn)時(shí)要注意方式，盡量使用全名或全稱，同時(shí)要避免引起對(duì)方的防范。

第三步，表明時(shí)間。錄音的時(shí)間應(yīng)在通話過(guò)程中有所體現(xiàn)，雖不必表述非常清楚，但至少應(yīng)能確定大致時(shí)間或能通過(guò)邏輯推斷出時(shí)間，至少能夠根據(jù)錄音內(nèi)容明確事件發(fā)生的先后順序。這一點(diǎn)在涉及證明事件未過(guò)訴訟時(shí)效時(shí)尤為重要。如在借款糾紛中，債權(quán)人若無(wú)證據(jù)證明其通過(guò)持續(xù)催款的方式延續(xù)訴訟時(shí)效，則在債務(wù)人作時(shí)效抗辯的情況下，法院很難支持債權(quán)人的訴訟請(qǐng)求。鑒此，債權(quán)人可通過(guò)同債務(wù)人談話錄音的方式證明債權(quán)人持續(xù)催款的事實(shí)。

第四步，把握節(jié)奏。錄音者應(yīng)提出話題或提出質(zhì)疑問(wèn)題以便引導(dǎo)、促使被錄音人自己說(shuō)出事實(shí)真相。不要在錄音中說(shuō)一些無(wú)關(guān)緊要的事情(必要的發(fā)問(wèn)技巧除外)，一定要控制通話的節(jié)奏，必要時(shí)應(yīng)書面羅列下來(lái)以免遺漏。錄音者要銘記錄音的目的，注意控制自己的情緒，堅(jiān)持錄音者少說(shuō)話，讓被錄者多說(shuō)話(被錄者沉默并不視同其承認(rèn))，避免用較大的聲音和激烈的言詞去壓制對(duì)方。同時(shí)，錄音過(guò)程不能有間斷，不要因被錄者表述與案件無(wú)關(guān)的事情就暫時(shí)停錄，否則可能會(huì)使法院認(rèn)為錄音有處理嫌疑從而導(dǎo)致對(duì)錄音者不利。

第五步，保存原件。錄音材料的可變性使得對(duì)錄音進(jìn)行修改、剪輯和添加等處理非常容易。這就要求一定要保存好錄音原件，不能隨意移動(dòng)、復(fù)制或刪除。同時(shí)，錄音者應(yīng)將錄音內(nèi)容整理成書面材料，在向司法機(jī)關(guān)遞交錄音時(shí)一并提交。

(二)短信內(nèi)容的收集

作為借助無(wú)線通訊網(wǎng)絡(luò)技術(shù)、通過(guò)手機(jī)發(fā)送和接受的方式在移動(dòng)網(wǎng)絡(luò)上儲(chǔ)存和轉(zhuǎn)寄的簡(jiǎn)短信息，短信這一表述社會(huì)主體思想內(nèi)容的載體以其簡(jiǎn)潔、便利和即時(shí)性強(qiáng)等諸多優(yōu)點(diǎn)成為當(dāng)今人們溝通和交流的重要手段。每個(gè)手機(jī)用戶的手機(jī)號(hào)碼和入網(wǎng)證號(hào)都是唯一的，短信發(fā)出后，接受者手機(jī)又能顯示對(duì)方的手機(jī)號(hào)碼。尤其是在手機(jī)實(shí)名制的情況下，手機(jī)用戶身份和所用手機(jī)“綁定”在一塊，這就意味著短信一旦生成，只要不被刪除，其即可被固定在發(fā)送方和接收方的手機(jī)上，進(jìn)而確定雙方的真實(shí)身份;這就可以較為有效地被收集和保全，從而成為證明案件特定事實(shí)的重要利器。具體而言，對(duì)短信證據(jù)的收集要注意三點(diǎn):其一，短信內(nèi)容必須是與傳遞信息主體行為相關(guān)的思想內(nèi)容的表述;其二，能夠明確知悉或查明相應(yīng)手機(jī)使用人或信息接發(fā)主體的真實(shí)身份;其三，短信內(nèi)容必須能夠被知悉并固定。如果不能全面地收集這些資料，則涉案短信不一定能夠作為法院認(rèn)定案件事實(shí)的依據(jù)。

收集短信證據(jù)時(shí)，取證者應(yīng)將短信連同存儲(chǔ)該手機(jī)短信證據(jù)的電子信息設(shè)備(手機(jī))或電子信息介質(zhì)(手機(jī)卡)一起收集〔15〕。在獲取原始電子信息設(shè)備(手機(jī))或電子信息介質(zhì)(手機(jī)卡)不方便的情況下，取證者可以利用手機(jī)轉(zhuǎn)發(fā)功能將特定手機(jī)上的短信轉(zhuǎn)發(fā)到其他手機(jī)上，并用記錄資料記錄下原手機(jī)短信的發(fā)送方、接收方、發(fā)送時(shí)間以及短信息服務(wù)中心號(hào)碼等相關(guān)信息。取證者還可借助專用軟件將手機(jī)短信存儲(chǔ)到計(jì)算機(jī)或其他存儲(chǔ)設(shè)備中，并用記錄資料記錄下計(jì)算機(jī)沒有存儲(chǔ)到的與短信生成及傳輸?shù)扔嘘P(guān)的信息。

在短信證據(jù)收集過(guò)程中，首先要確定信息發(fā)送者的真實(shí)身份。在信息發(fā)送者與手機(jī)登記用戶一致的情況下，可通過(guò)運(yùn)營(yíng)商來(lái)確定信息發(fā)送者的身份;在兩者不一致的情況下，則可通過(guò)保留通話錄音或保存即時(shí)照片的方式來(lái)確定信息發(fā)送者的身份〔16〕。就傳輸信息的時(shí)間而言，用戶必須設(shè)置時(shí)間功能，這樣發(fā)送和接收才能有記錄，否則無(wú)法證實(shí)發(fā)送和接收時(shí)間;就發(fā)送情況而言，用戶可設(shè)置信息回復(fù)功能，從而掌握信息發(fā)送的狀態(tài);就信息內(nèi)容而言，用戶一定要完整地保存信息內(nèi)容，不要出于各種原因進(jìn)行修改或變動(dòng)。此外，在接受信息者未將短信刪除的情況下，取證者可直接將此信息予以儲(chǔ)存，并將手機(jī)封存;在與案件有關(guān)的短信被刪除的情況下，取證者可通過(guò)手機(jī)短信運(yùn)營(yíng)商來(lái)調(diào)取短信內(nèi)容。具體而言，取證者可持合法證件通過(guò)運(yùn)營(yíng)商的儲(chǔ)存信息將對(duì)應(yīng)的手機(jī)短信的發(fā)送時(shí)間、雙方手機(jī)號(hào)以及內(nèi)容等信息打印出來(lái)，并由在場(chǎng)的運(yùn)營(yíng)商工作人員簽字蓋章以證實(shí)出處。

〔1〕虞磊浩.論電子證據(jù)對(duì)刑事搜查的挑戰(zhàn)〔J〕.中國(guó)刑事法雜志，2009，(6):52 -57.

〔2〕張 睿.論民事訴訟中的電子證據(jù)〔J〕.中州學(xué)刊，2009，(3):24 -29.

〔3〕李 哲.電子證據(jù)若干問(wèn)題探討〔J〕. 西南政法大學(xué)學(xué)報(bào)，2007，(6):58 -63.

〔4〕高 嵐.計(jì)算機(jī)取證有效遏制網(wǎng)絡(luò)犯罪〔N〕. 中國(guó)計(jì)算機(jī)報(bào)，2002-11-11(21).

〔5〕楊永川，李 巖.電子證據(jù)取證技術(shù)的研究〔J〕.中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版)，2005，(1):55 -62.

〔6〕葉 紅.電子取證點(diǎn)中網(wǎng)絡(luò)犯罪死穴〔N〕. 中國(guó)計(jì)算機(jī)報(bào)，2007-05-21(22).

〔7〕徐燕平，吳菊萍，李小文.電子證據(jù)在刑事訴訟中的法律地位〔J〕.法學(xué)，2007，(12):47 -53.

〔8〕葉 紅.電子取證:打擊計(jì)算機(jī)犯罪的利器〔N〕.中國(guó)計(jì)算機(jī)報(bào)，2007-07-30(7).

〔9〕王笑強(qiáng).數(shù)據(jù)恢復(fù)技術(shù)成為電子取證的核心技術(shù)〔N〕.中國(guó)計(jì)算機(jī)報(bào)，2009-11-23(41).

〔10〕梅賢明，何曉慧. 構(gòu)建電子證據(jù)采信規(guī)則迫在眉睫〔N〕.人民法院報(bào)，2007-08-03(3).

〔11〕熊志海，吳映穎.網(wǎng)絡(luò)證據(jù)淺析〔J〕.重慶郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2007，(1):91 -95.

〔12〕吳建蓉.巧妙收集入侵Windows 系統(tǒng)的證據(jù)〔J〕.信息化建設(shè)，2005，(9):42 -44.

〔13〕周明強(qiáng).電子郵件證據(jù)的保全〔N〕.人民法院報(bào)，2006-08-09(5).

〔14〕盧金增，呂亞洲. QQ 犯罪猖獗，打擊卡在“取證難”〔N〕.檢察日?qǐng)?bào)，2011-01-12(8).

〔15〕侯 丹，陳 靜. 手機(jī)短信可否作為本案直接證據(jù)〔N〕.人民法院報(bào)，2010-04-01(7).

〔16〕焦婷婷. 短信作為證據(jù)的“糾結(jié)”與“破解”〔N〕. 人民法院報(bào)，2010-12-13(6).